اگه تو زمینه امنیت سایبری فعالیت کرده باشید احتمالا اسم شرکت عظمای Fireeye رو شنیدید. شرکتی که در حوزه امنیت سایبری و کشف و پیشگیری حملات سایبری فعالیت داره. فایرآی دفتر اصلیش در Milpitas کالیفرنیا قرار داره و در سال 2004 توسط "اَشار عزیز" بنیانگذاری شده. چند تا شرکت تابعه هم داره که در طول این مدت خریداری کرده از جمله mandiant,verodin,Cloudvisory و ...
8 دسامبر 2020 (18 آذر99) این شرکت اعلام کرد که دچار یک حمله پیچیده قرار گرفته و مهاجمین که از اونها به هکرهای حرفه ای یاد کرده تونستن یک سری ابزار تیم قرمز (اگه نمیدونید تیم قرمز و آبی و بنفش و ... چیه اند این پست بخونید )رو به سرقت ببرند و در ادامه از نقش مایکروسافت برای شناسایی این حمله یاد شده و در ادامه هم توضیحی مبنی بر مشارکت با FBI برای ردیابی و گرفتن این هکرها شده و رصد اینترنت برای شناسایی مواردی که از این ابزارها استفاده کنند. همچنین چون شرکت یک شرکت حرفه ای هستش کل رولهای شناسایی ابزارهای خودش رو در قالب رولهای yara,snort,claAV گذاشته که اگه احیانا موردی رخ داد با این رولها قابل شناسایی باشه.
در این نوشته ها که از وبلاگ شرکت picussecurityبا تغییرات و کامل کردن مباحثش برداشته شده به بررسی ابزارهای تیم قرمز سرقتی می پردازیم و روشهای دفاع که برای تیم آبی و قرمز میتونه جالب باشه. کل نوشته ها به شرح زیر است :
قسمت اول : خبر اولیه هک و بررسی ابزارهای تیم قرمز (همین پست )
قسمت دوم: ادامه بررسی ابزارهای اولیه
قسمت سوم : معرف روشهای دفاعی
خبرهای مختلفی از این هک بیرون اومده از جمله اینکه این هک منتسب دادن به تیم های هکری روسیه چون اغلب فایرآی با این گروهها درگیر بوده و بخصوص گروه هکری وابسته به دولت روسیه APT29 که به نامهای YTTRIUM, The Dukes, Cozy Bear, CozyDukeشناخته میشن اما هیچ مدرکی وجود نداره و برخی گمانی زنی ها دیگر ولی 2 نکته در این خصوص مطرحه :
اول اینکه نه هکرها و نه شرکت فایرآی توضیح اضافه ای از روش های هک و تکنیکهایی که منجر به این هک عظما شده نداشتن و باید منتظر این گزارش ها باشیم. نکته دوم اینکه در این برهه از زمان ایجاد آمادگی برای جلوگیری از هک شدن شرکتها و سازمانهای خودمون با استفاده از این ابزارهای به سرقت رفته هست. این ابزارها که البته عنوان شده که هیچ کد روز صفرمی نداشتن و یسری ابزار با CVE هایی هست که قبلا منتشر شده هستند.این حمله یادآور حمله shadowBrokers به NSA هستش که بعد اون حمله دنیا با تهدیدات جدی روبرو شد از جمله واناکرای ولی در خصوص این حمله چون آسیب پذیری روز صفرمی نداشتن اغلب شرکتهای امنیتی عنوان کردند که تهدید جدی در حد هک NSA نخواهیم داشت.
در ادامه به بررسی 60 نمونه از این ابزارها می پردازیم.
طبق بررسی هایی که شرکت picussecurity انجام داده تکنیکهای موجود در ابزارهای به سرقت رفته شامل:
با توجه به اینکه خود فایرآی جزییاتی از اینکه ابزارها سرقت رفته ،چه کارهایی میکنن و ... نداده برای همین محققین تیم های آبی و قرمز با توجه به مستنداتی که از فایرآی منتشر شده تحلیلهایی انجام دادند و اونها رو به 4 دسته طبقه بندی کردند :
در بین این ابزارها 16 آسیب پذیری هم به سرقت رفته که البته اونها هم روز صفری نبودند.
اگر در مورد امتیاز Cvss اطلاعی ندارید این پست بخونید
پیشنهاداتی برای تیم آبی :
1- ابزارهای مبتنی بر پروژه های متن باز:
ابزارهایی که با کمی تغییرات در پروژه های متن باز ایجاد شدند.
1.1 ابزار ADPassHunt :
یک ابزار سرقت گواهینامه در اکتیودایرکتوری است . از قوانین YARA منتشر شده وجود دو رشته Get-GPPAutologons و GPPPasswords . رشته GPPPasswords اشاره به اسکریپت پاورشلی دارد که رمزهای ساده و اطلاعات اکانتهایی موجود در GPP را بدست می آورد و رشته GPPAutologons اشاره به اسکریپت پاورشلی دارد که رمزهای عبور ورودی Autologon را که GPP هستند را بدست می آورد.این توابع در ابزار Powersploit استفاده می شوند.
MITRE ATT&CK Techniques
T1003.003 OS Credential Dumping: NTDS
T1552.06 Unsecured Credentials: Group Policy Preferences
AdPassHunt IOCs
590bd7609edf9ea8dab0b5fbc38393a870b329de
29385446751ddbca27c26c43015be7ab0d548b895531fba9b03d612e53bd9ff0
1.2 ابزار Beacon :
این ابزار براساس ابزار معروف CobaltStrike ساخته شده است .یک beacon پیلودهای CobaltStrike هستند که مهاجمین برای موارد مختلفی مانند اجرا، افزایش امتیاز کاربری و پایداری و ... ایجاد میکنند.طبق اطلاعات منتشر شده از فایرآی این beacon از HTTP, HTTPS, DNS برای ارتباطات و همچنین برنامه های داخلی ویندوز مانند msbuild.exe, Microsoft.Workflow.Compiler.exe, regsvr32.exe برای اجرای پیلودهای خود و از searchindexer.exe برای تزرق پروسس استفاده می کردند.از این برنامه با استفاده از تکنیک masquerading استفاده می شده است .
MITRE ATT&CK Techniques
T1071.001 Application Layer Protocol: Web Protocols
T1029 Scheduled Transfer
T1036.003 Masquerading: Rename System Utilities
T1036.004 Masquerading: Task or Service
T1036.005 Masquerading: Match Legitimate Name or Location
T1574.002 Hijack Execution Flow: DLL Side-Loading
T1047 Windows Management Instrumentation
T1072 Software Deployment Tools
T1059.003 Command and Scripting Interpreter: Windows Command Shell
CobaltStrike Beacon IOCs
03a8efce7fcd5b459adf3426166b8bda56f8d8439c070b620bccb85a283295f4
e4dd5fc22ff3e9b0fa1f5b7b65fb5dfeac24aab741eee8a7af93f397b5720f4a
d011a846badec24a48a50d1ab50f57d356b9dd520408cbb3361182f6f0489a1e
0a566a0ddbaf9975221fe842b9b77c4a8b5d71bb2c33e0a46da26deec90dcbea
61cd1311d2e4663b86b5a70c2aafd5af6b247a6ebf407170296e37aaf8c69392
1.3 ابزار Beltalowda :
این ابزار مبتنی بر ابزار SeatBelt ایجاد شده که یک ابزار تیم قرمز و آبی می باشد که برای ارزیابی safety checks استفاده می شود.
Beltalowda / SeatBelt IOCs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.4 ابزار Dtrim :
یک نسخه اصلاح شده از ابزار SharpSploit میباشد که یک کتابخانه متن باز سی شارپ برای پست اکسپلویتینگ می باشد. (انتقال ماژولهایی مانند میمیکتز)
1.5 برنامه EWS-RT :
یک نسخه اصلاح شده از ابزار متن باز پاورشلی RT-EWS که می باشد که برای عملیات شناسایی و اکسپلویت Microsoft Exchange Servers از جمله Office365 مورد استفاده قرار میگیرد.
1.6 برنامه Fluffy :
یک نسخه اصلاح شده از ابزار متن باز سی شارپی Rubeus برای ارتباط و اکسپلویت Kerberos می باشد.تیم های قرمز از این ابزار برای استخراج تیکتهای تحت حملات Kerberoasting استفاده می کنند .
MITRE ATT&CK Techniques
T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting
1.7 ابزار G2JS :
این ابزار که با نام GadgetToJScript نیز شناخته می شود با استفاده از BinaryFormatter در دات نت برای زبانهایی اسکریپتی JS, VBS, VBA ابزارهایی تولید می کند. تیم های قرمز اغلب از این ابزار برای تولید اسکریپتهای Microsoft Windows Script Host استفاده میکنند.
MITRE ATT&CK Techniques
T1059.005 Command and Scripting Interpreter: Visual Basic
T1059.007 Command and Scripting Interpreter: JavaScript/JScript
G2JS IOCs (SHA256)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.8 برنامه ImpacketObf :
مجموعه ای از ابزارهای مبهم سازی Impacket می باشد.Impacket کلاسهایی از پایتون برای کار با پروتکل های شبکه می باشد.
1.9 ابزار ImpacketOBF (SMBExec)
براساس ابزار smbexec.py مرتبط با Impacket ساخته شده است .
1.10 ابزارImpacketOBF (WMIExec)
براساس ابزار wmiexec.py مرتبط با Impacket ساخته شده است .
MITRE ATT&CK Techniques
T1047 Windows Management Instrumentation
1.11 ابزار InveighZero
یک ابزار برای حملات مرد میانی و اسپوفینگ می باشد و پروتکلهای LMNR, NBNS, mDNS, DNS, DHCPv6 را ساپورت میکند.
MITRE ATT&CK Techniques
T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
InveighZero IOCs (SHA256)
78fafeb22bf31de02a4b56114e86dcc3394e382658a5c95b1a302d3d8794718d
2728c46f4fcf62f3faee72be30f1dd75528391b0d70da302544f5282d58c931b
715b415647f33937b39aa072001bfb9857a4bea884d009cbe0c27f1422b9f55b
452c6651e79d9f69a55e711c0b4d70eb2b1aaac206b8a274e45d22f9d7cafd2c
50c4f46e43d30c9520be35e294ef98d81f81d60602cd659367bbcf6a91766c0f
a66f3a9ddf9343aeed40276c1abfc485f089050074a03801cd9a16787a39c6bf
0c080548e15e7f377baed2a550d48a555e6150d969f7f4b8244c3b3a50afb858
1.12 ابزار KeeFarce
یک ابزار متن باز برای استخراج پسورد KeePass 2.x از حافظه می باشد.که از تکنیک DLL injection استفاده میکند.
MITRE ATT&CK Techniques
T1555.001 Process Injection: Dynamic-link Library Injection
KeeFarce IOCs (SHA256) 5ea9a04284157081bd5999e8be96dda8fac594ba72955adacb6fa48bdf866434
1.13 برنامه NetAssemblyInject
براساس ابزار NET-Assembly-Inject-Remote برای تزریق اسمبلی های سی شارپ به پروسهای ویندوز استفاده می شود.
1.14 ابزار NoAmci
یک ابزار متن باز که با استفاده از DInvoke برای وصله کردن AMSI.dll برای بایپس کردن AMSI استفاده می شود.
1.15 ابزار PuppyHound
یک ابزار متن باز اصلاح شده از SharpHound به زبان سی شارپ می باشد که برای جمع اوری اطلاعات برای BloodHound می باشد.
PuppyHound / SharpHound IOCs (SHA256)
23490f7ac40b6b15c228ed8f8e9122d460469aa4025ed7008660e4310ef7e70f
a7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed
5fabe36fb1da700a1c418e184c2e5332fe2f8c575c6148bdac360f69f91be6c2
7b0a7e5d344f8ffa1a097cd9e658ecaa551fd84cfcc92a5fe46f9965661662cc
e9e646a9dba31a8e3debf4202ed34b0b22c483f1aca75ffa43e684cb417837fa
a07002c5d7712e751dfbcab1f05190793eb417b693b61f8ba0750fa15f88f61b
0d9fbc16c6f316d8ee1b9ff47b300c24a1964fdfc3990b680d05dab5e1905d9f
ee72671628902e2cd75fde74b7926355b39d1ab50be0aa8bc06e8f06344fc22c
36d4e69106bc8530d7923442d1929558b876f7f10545316623ae3db1b93ec584
e333444d815055181402f5fdbf60a62c4545e64f3e382c7685b47b7b5a6c27e8
1.16 برنامه Rubeus
ابزار متن باز سی شارپی Rubeus برای ارتباط و اکسپلویت Kerberos می باشد.تیم های قرمز از این ابزار برای استخراج تیکتهای تحت حملات Kerberoasting استفاده می کنند .
MITRE ATT&CK Techniques
T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting
Rubeus IOCs (SHA256)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.17 ابزار SafetyKatz
یک ابزار ترکیبی از میمیکتز و .NET PE Loader می باشد.ابزاری که یک minidump از lsass می گیرد و با استفاده از NET PE Loader میمیکتز را برای استخراج گواهینامه ها اجرا میکند.
MITRE ATT&CK Techniques
T1003.001 OS Credential Dumping: LSASS Memory
SafetyKatz IOCs (SHA256)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.18 برنامه SharpUtils
مجموعه ای از ابزارهای تیم قرمز که به زبان سی شارپ نوشته شده.
1.19 ابزار SharpZeroLogon
یک اکسپلویت متن باز برای Zerologon می باشد.
SharpZeroLogon IOCs (SHA256)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.20 ابزار TitoSpecial
براساس ابزار AndrewSpecial ایجاد شده که برای سرقت گواهینامه ها از Lsass استفاده می شود.
MITRE ATT&CK Techniques
T1003.001 OS Credential Dumping: LSASS Memory
TitoSpecial / AndreSpecial IOCs (SHA256)
7bcf833ab795b3a2cbd5df2e8caf5d664534b4623d0864dda73222dc47c56ec7
1.21 ابزار TrimBishop
براساس ابزار متن باز Rural Bishop ایجاد شده است.
TrimBishop / RuralBishop IOCs (SHA256)
38e7e5250287542688b12e216d9b25388061decde2f7255969a7a914cda0faf4
60247aa54635a0788f636aeab9752cc4e83ba4ae3ec336f60e01ab8dec856a05
7127e4b634f2bf6b9965d183c3dd61540ed4e08c4d60123da44892cf509cfe94
f821c3b8274d69e6948dea823682d16be0b23da3ea5363d6ffa0ea05e8654c05
b40c8fcb20acf66db418078f0d6099145b220dc056d095beb54665faf6c726c7
ادامه مطالب در قسمت دوم این مجموعه از پستها.